发现特权账户

(此功能只适用于企业版)

概述

Password Manager Pro可以自动发现网络中的IT资产，并列出它们的特权账户，并及时保护它们的特权身份。PMP既可以发现Windows、Linux、VMware和网络设备。也可以发现与Windows域账户相关联的服务账户。

自动添加特权账户，减少操作步骤。

1. 第一步：发现资源（IT资产）
2. 第二步：将发现的资源添加到PMP
3. 第三步：发现特权账户

PMP如何发现资源？

下面为您介绍PMP如何发现资源：

如何发现特权账户？

第一步：发现资产

第一步是发现您环境中的IT资产。如上所述，PMP可以自动发现环境中的IT资产。

1. Windows (包括服务账户)
2. 网络设备
3. VMware
4. Linux

A) Windows

您可以导入域中的计算机并将它们作为资源添加到PMP。PMP可以自动发现并列出所有域。请选择所需的域并输入域控制器凭证。

发现Windows设备的步骤，

• 点击“资源>>”“发现资源”，选择“Windows”。
• 从域列表中选择一个域，建议您提供辅助域控制器，作为主域控制器停机时使用。
• 如果您有辅助域控制器，请输入它们的DNS名称，各个DNS名称直接用逗号隔开。其中一个辅助域控制器将被使用。当您选择SSL模式时，需要确保输入的DNS名称与SSL证书中的CN（通用名称）相匹配。
• 连接方式包括SSL和非SSL为了做到更加安全，我们强烈推荐您使用SSL连接。
• 请输入域控制器的DNS名称以及具有读权限的有效凭证（用户名和密码）。（如果您需要从多个域发现用户，请输入用户名<DomainName>\<username>。例如，如果您要发现域A中的用户，则需要输入相应的凭证，用户名格式为<域A>\用户名)).
• 对于每一个域，您可以配置是否使用加密通道进行连接。如需开启SSL模式，请开启636端口，并且需要将域控制器的根证书导入PMP服务器。
• 使用存储在PMP中的用户账户。这一步赋予PMP访问并获取域中的用户账户。

正如上面所讲的，开启SSL模式，需要在域控制器开启636端口。如果域控制器的证书没有被CA签名，请手动将您的证书导入到PMP服务器所在的证书库。您需要导入所有根证书链下的证书 - 指的是PMP服务器所在主机的证书和中间证书，如果有的话。

将域控证书导入PMP所在主机的证书库：（您可以使用任何方式将SSL证书导入到证书库。下面为您举了一个例子）

• 在安装了PMP的机器上，打开IE浏览器并点击“工具” >> “Internet选项” >> "内容" >> "证书"
• 点击“导入”
• 找到您的CA发布的根证书
• 点击“下一步”，并选择“自动选择基于证书类型的证书库”并安装
• 再次点击“导入”
• 查找域控制器证书
• 点击“下一步”，并选择“自动选择基于证书类型的证书库”并安装。
• 应用变更并关闭向导
• 重复上面的步骤安装根链上的其它证书

PMP服务器现在可以在SSL模式与指定的域控制器进行通信了。重复以上步骤可以为其它域控制器进行配置。注意，您输入的域控制器的DNS名称应该与域控制器SSL证书中的CN（通用名称）相匹配。

• 您可以导入资源、资源组或组织单位的设置，将他们的名称用逗号隔开。
• 如果您只需导入特定资源，请输入所需资源名称，资源名称用逗号隔开。
• 同样，您可以选择只从域中导入指定的资源组或组织单位。以文本格式进行书写并使用逗号将名称隔开。
• PMP会定期查询AD并对资源进行同步。您可以设置同步间隔。一旦有资源添加到活动目录，就会被自动添加到PMP中，并保持资源数据库的同步。请输入同步间隔。时间间隔可以是分钟、或者小时、天。
• 点击“保存”。之后，PMP将开始发现所选域中的资源。只有新加入AD的资源会被加入到本地数据库。
• 点击导入并保存。

发现服务账户

在发现Windows账户时，PMP也会自动获取与服务账户相关的服务。 Windows服务账户发现如下所示：

• 首先，PMP会创建一个带有域名的Windows域资源。例如，如果域名为“PMP”，则创建的资源名称将为“PMP - 域控制器”。
• 然后，PMP将尝试获取所有指定组织单位或组中的Windows成员服务器
• 导入资源后，与这些资源相关联的本地账户也会被获取到。
• 最后，导入的资源中的服务账户将被获取。

这些服务账户将被映射到资源组，资源组包括被使用服务账户的资源。资源组将以"DomainName_ServiceAccountGroup"的格式被创建。例如，如果域名为PMP，则资源组名将为PMP_ServiceAccountGroup。如果资源组名称已经存在，资源将被添加到该资源组中。

B) 网络设备

先决条件 - 创建发现配置文件

• 进行发现网络设备之前，您应该先创建发现配置文件。配置文件帮助PMP使用通用明细发现多个设备。对于网络设备 - PMP支持SNMP团体v1，v2c和v3。您可以使用编辑选项配置SNMP端口。进入资源标签，点击发现资源，在左侧列表中选择网络设备并点击“添加新的配置文件”，创建的配置文件过程解释如下：

SNMP V1和V2c:

使用SNMP V1和V2c为设备创建一个配置文件，


• 请输入配置文件的名称。此名称用于唯一标识配置文件
• 请输入配置文件的描述
• 从下拉列表中选择SNMP版本 - > V1或V2c
• 请输入读团体字符串 - 这是必填项。您也可以输入写团体字符串，这不是强制的。
• 保存配置文件。

SNMP V3:

使用SNMP V3创建配置文件，

• 请输入配置文件名称，此名称用于唯一标识配置文件。
• 请为配置文件的描述。
• 请从下拉列表中选择SNMP的版本 - > Version V3
• 请输入SNMP的端口号
• 用户名：请输入代表被交换的信息的用户名称（主）。
• 上下文名称：一个SNMP上下文名称或者“上下文”简称，它使用SNMP实体收集管理信息。可能某个管理信息条目多于一个上下文。一个SNMP实体可以访问多个上下文。换句话说，如果一个管理信息已被一个SNMPv3定义为特定的上下文，任何管理应用都可以通过此上下文名称访问该信息。“上下文名称”是一个八进制字符串，至少拥有一条管理信息。
• 认证协议和密码：请选择一个认证协议MD5或SHA并输入密码。MD5和SHA用于生成SNMPv3应用的认证/私有密钥。
• 您既可以手动输入密码也可以使用存储在Password Manager Pro中的用户账户。
• 私有协议：请选择所需的私有协议并输入私有密钥。
• 保存配置文件。

发现网络设备

发现网络设备的步骤，

• 点击资源并点击“发现资源” -> 选择网络设备
• 有三个发现网络设备的选项：
1. 您可以通过输入主机名称或IP地址发现单个网络设备
2. 输入IP地址范围发现多个设备
3. 使用一个文本文件发现多个设备

1) 输入主机名称或IP地址发现单个设备

• 目前，PMP只支持IPV4。输入的IP地址或主机名称应该如下所示：

举例: 192.168.1.1, cisco2611

2) 使用IP地址范围发现多个网络设备

• 您也可以指定IP地址范围批量发现IT资产。PMP将自动发现所有IP地址范围内的IT资产。
• 当前，PMP只支持IPV4格式。输入的IP范围格式如下：

举例: 192.168.1.1 - 192.168.1.15

3) 使用一个文本文件发现多个设备

• 您也可以在一个文本文件中输入设备明细，然后将该文件导入PMP。文件中的每一行都会执行一个发现任务
• 您可以在文件中输入多个IP范围或IP地址、主机名。
• 发现单个主机，您既可以输入主机名也可以输入IP地址。如果使用逗号、空格或制表符分隔，则将进行IP地址范围发现。

• 请选择所需的发现配置文件，并点击发现按钮。
• 极个别情况，发现动作出现停止响应。这时，PMP会重新对不响应的设备进行连接。您可以设置发现设备的最大时间。最大为999秒。
• 为了避免这种情况出现的延时，您可以设置重试次数（最大为5），PMP会继续尝试发现设备。
• PMP将会开始发现网络设备，您可以在发现状态标签查看发现设备。

C) VMware

• 前提条件：在发现VMware设备之前，您应该先创建发现配置文件。配置文件帮助PMP使用通用明细发现多个设备。进入资源标签，点击发现资源，在左侧列表中选择VMWare设备并点击“添加新的配置文件”，创建的配置文件过程解释如下：

创建发现配置文件

• 请输入新的配置文件名称。此名称用于唯一标识配置文件。
• 请输入配置文件的描述
• 请输入用于与虚拟设备建立连接的VMware端口，用户名和密码
• 您既可以手动输入密码也可以使用存储在Password Manager Pro中的用户账户。

发现VMWare

• 正如在发现网络设备部分提到的，你也可以指定主机名称、IP地址发现单独的虚拟设备，使用IP范围、文本文件来发现多个虚拟设备
• 请选择所需的发现配置文件并点击发现按钮。
• 输入VMware端口号和用户名。
• 极个别情况，发现动作出现停止响应。这时，PMP会重新对不响应的设备进行连接。您可以设置发现设备的最大时间。默认最大超时时间为60秒。
• 选择您的配置文件并点击发现按钮。PMP将开始发现网络设备，并且您可以从发现状态标签查看发现状态。

D) Linux

发现Linux设备步骤，

• PMP使用TELNET连接模式发现Linux/Unix设备。
• 正如在发现网络设备部分提到的，你也可以指定主机名称、IP地址发现单独的设备，使用IP范围、文本文件来发现多个设备。
• 您可以设置最大超时时间为999秒，在此时间内设备必须被发现。
• 请输入Telnet端口号。
• 请选择配置文件并点击发现按钮。PMP将开始发现网络设备，并且您可以从发现状态标签查看发现状态。

跟踪发现状态 / 停止发现进程

• 完成配置发现操作后，PMP可以让您实时跟踪发现状态。
• 在发现任务列表中，列出了当前正在后台运行的任务，您可以从“发现状态”标签找到它。使用相同的标签，您也可以跟踪到之前执行的发现扫描历史。
• 您可以找到发现任务的任务名称，被调用的时间，完成时间和发现状态。
• PMP为您提供了一个选项，可以停止当前运行的发现操作。
• 点击任务名称查看发现的IT资产。

第二步，添加发现的资源

在发现状态窗口，PMP为您提供了一个选项，您既可以添加所有发现的资源，也可以将所选资源添加到清单中。

• 在发现状态窗口，点击一个任务名称，会弹出发现任务状态。
• 点击添加所有发现的资源，将资源添加到PMP清单并点击确定按钮。
• 如果您只想将指定的资源添加到PMP清单，请选择这些资源并点击“添加所选的资源”。

第三步：发现特权账户

完成发现IT资产后，下一步是与IT资产关联的特权账户。您可以批量发现与资源关联的特权账户，也可以发现与单个资源关联的特权账户。

当前，PMP支持对如下资源类型发现特权账户：

有4种方法添加特权账户：

1. 在资源标签，点击一个资源，您会看见“发现账户”按钮。可以发现资源内的账户，并将它们添加到该资源之中。
2. 在资源标签，“更多动作”菜单下，会看到“发现账户”按钮。您可以选择多个资源并点击此选项发现所选资源内的所有账户。
3. 在“资源组”标签，“批量配置”下面，会看到“发现账户”按钮。您可以选择多个资源组并点击“发现账户”按钮。批量发现并添加账户。
4. 在“资源组”标签，“密码动作”下面，会看到“计划账户发现”图标。点击它并创建一个任务计划，执行批量发现账户动作。

账户发现：先决条件

提供用于远程同步的凭证

如需发现并找出资源的特权账户（包括本地管理员账户），您需要提供必要的凭证。请点击资源旁边的“编辑”按钮。重复以上步骤为其它资源发现账户。

• 在资源标签，点击各个资源旁边的“编辑”按钮
• 在弹出的窗口中，根据需要输入描述以及其它信息。
• 正如之前介绍的，PMP只为某些资源类型提供发现账户。如果您的设备不在被支持的设备列表中，没关系，就像前面的发现步骤一样，尝试发现您的资源中的账户。
• 在发现资源时，PMP也会填写该资源类型字段。请检查资源类型字段并确保选择了正确的类型。否则，更改资源类型。
• 在“编辑”资源窗口底部，选择“为远程同步或账户发现提供凭证”，并输入管理员凭证。这是必要执行远程同步的必要步骤。点击保存按钮完成设置。

发现单个资源的特权账户

• 完成以上步骤之后，您就可以发现单个资源的账户了。在“资源”标签内，点击所需的资源。
• 点击发现账户按钮获取指定资源的用户账户。

发送随机密码通知

• 在发现账户后，建议您对发现的账户重置密码。当账户被发现时，PMP只可以获取用户账户名。并不能获取到密码。不过，PMP可以为您执行密码重置 - 就是说，可以为您生成符合密码策略的随机密码。新的密码也在PMP中适用。
• 如需在发现账户后生成随机密码，可以在“资源”标签，选择需要执行重置账户密码的资源。点击“更多动作” -> 发现账户 ->选择重置新发现的账户的密码。
• 你可以向用户发送密码通知。既可以发送给密码拥有者，也可以给其他用户发送邮件通知。
• 保存配置。

为多个资源批量发现特权账户

在资源标签，“更多动作”内，您会看到“发现账户”选项。您可以选择多个资源并点击“发现账户”，对所有选择的资源执行发现账户。

发现账户之后，如需重置新发现的账户的密码。详细的信息请参照上面的介绍。

在资源组中发现特权账户

您还可以在资源组中发现多个资源的特权账户。

在“资源组”标签内，点击“批量配置”，您会看到“发现账户”。选择多个资源组并点击“发现账户”，发现所有所选资源组中的账户。

发现账户之后，如需重置新发现的账户的密码。详细的信息请参照上面的介绍。

提示：您也可以在代理模式下发现特权账户。​

自动、定期的发现特权账户

• 您可以定期自动发现资源中的特权账户。可以在资源组级别中进行相应配置。
• 请选择资源组->密码动作 -> 账户发现计划。
• 然后选择执行计划的频率。

• 一旦发现完成，您可以对已有PMP用户或指定的邮件地址发送通知。 ​
• 您可以在审计页面查看发现账户计划信息。
• 正如前面所讲，您可以生产随机密码。
• 点击计划按钮。

提示：如果您正在使用PMP MSP版，请从全局设置中开启发现选项。进入全局设置 -> 用户管理 ->在客户组织中启动发现。